AI Revolution der künstlichen Intelligenz im Netzwerk

Transkript

1 AI Revolution der künstlichen Intelligenz im Netzwerk SÜDDEUTSCHLAND: SASCHA SCHANTZ- NORDDEUTSCHLAND: SONIA HAASLER TOBIAS SCHUBERT MARC DROUVE 1

2 Die SOCs von heute sind von gestern Tool-Vielfalt ohne Integration Menschliche Middleware Viele Daten, wenig Information 2

3 Automatisierung als kritischer Faktor 3

4 Unsere Vision Public Cloud Infrastruktur Rechenzentrum KI AUTOMATISIERT SECURITY OPERATIONS Anwender/ IoT Erkennung Response Vorhersage Security Operations 4

5 Vectra Cognito Bedrohungsanalysten + Data Scientists = Vectra Cognito 5

6 Vectra Cognitos KI-Modell für Bedrohungserkennung Spezialisten für Threat Research Fortschritt im Zeitverlauf Lokaler Kontext Globale Bedrohungsdaten Anwender- Verhalten Kontext-Info zu Hosts und Assets Globales Lernen Erkennung typischer Bedrohungseigenschaften Lokales Lernen Identifizierung normaler und abweichender Vorgänge im lokalen Netz Integrierte Intelligence Events zueinander in Beziehung setzen und das Drehbuch eines Angriffs verstehen 6

7 Cognito erkennt Angreifer an ihrem Verhalten Ungewöhnlich Böse Im Fokus: Was Angreifer nicht vermeiden können Verschlüsselung darf kein Versteck mehr sein 7

8 Cognito spürt grundlegendes Angreiferverhalten in jeder Phase einer Attacke auf Botnet Monetization Command and Control Reconnaissance Lateral Movement Exfiltration Außergewöhnliche Web- Aktivität Bitcoin Mining Brute-Force-Attacken Outbound DoS Outbound Port Sweep Outbound Spam Neue Erkennungskategorie New Neu erfasstes Angriffs-Indiz Optimierte Erkennung Fernzugriff von außen Versteckter DNS-Tunnel Versteckter HTTP/S- Tunnel Malware-Updates Peer-to-Peer Pulling Instructions Verdächtige Domain- Aktivität Verdächtiges HTTP TOR-Aktivität Interner Darknet-Scan Kerberos-Account-Scan Port Scan Port Sweep File Share Enum SMB Account Scan Verdächtige LDAP- Abfrage RDP Recon RPC Recon New New New Automatisierte Replikation Brute-Force-Attacke SMB Brute Force Verdächtiger Kerberos-Client Verdächtiges Kerberos-Konto Kerberos-Server-Aktivität Ransomware-Datei-Aktivität Shell Knocker Verdächtiger Admin Verdächtiges Remote Exec SQL-Injection-Aktivität Verdächtiger Remote Desktop Kerberos Brute Force New New Datenschmuggel Versteckter DNS-Tunnel Versteckter HTTP/S- Tunnel Smash and Grab Staged Transfer TOR-Aktivität USB-gestützter Schmuggel Slow Bleed Verdächtiges Datensammeln 8

9 Cognito, der neue KI-Mitarbeiter im Sicherheits-Team 9

10 Cognito priorisiert die höchsten Risiken für Ihre Organisation 10

11 und visualisiert komplette Angriffsstrategien 11

12 um die Arbeitslast der Security-Analysten zu reduzieren Erkennung: Hunderte bis Tausende Verhaltens-Auffälligkeiten im Netz müssen zu wenigen echten Vorfällen verdichtet werden Bericht: Analysten benötigen hinreichende Informationen, um Entscheidungen zu treffen und Empfehlungen für die nächsten Schritte auszusprechen Triage: Auffälligkeiten müssen korreliert werden, um exakt die physischen Hosts im Zentrum einer Attacke zu bestimmen Response: Vectra Cognito integriert sich mit Plattformen für Enforcement und Incident Response SOC SIEM Incident Response Firewall Endpoint NAC 12

13 und Tempo und Effizienz der Incident Response zu steigern Schnellere Untersuchung von Bedrohungen Response automatisieren Integration mit existierenden Prozessen Ticketing / IR Endpoint- und Hypervisor-Kontext Endpoint SIEM Security Orchestration Security Orchestration NAC Visibility Firewall 13

14 Reduzierte Arbeitslast für Analysten im Unternehmen Qelle: 14

15 führt zu konzernweit erhöhtem Sicherheitsniveau 15

16 Die Vectra-Cognito-KI ist die Antwort auf aktuelle Herausforderungen der Cyber-Security KI automatisiert die Bedrohungserkennung im Cyberspace und die Response Rasant wachsende Angriffsfläche? Mehr unbekannte Unbekannte Massiv zunehmende Verschlüsselung Erkennungslücke Fachkenntnis- und Ressourcen-Lücke 16

17 17

18 Überwachtes maschinelles Lernen Data Scientists analysieren und rubrizieren große Mengen an Datenstichproben aus realen Umgebungen Identifizierung charakteristischer, in allen Stichproben erkennbarer Verhaltensweisen auf Paketebene Verhaltensgestützte Erkennung kommt ohne Signaturen aus 18

19 Globales Lernen Identifikation allgemeingültiger Bedrohungsmerkmale Techniken Überwachtes Lernen Adaptive Heuristiken Beispiel Random-Forest-Methode Erkennung verdächtiger C&C-Aktivitäten via HTTP 19

20 Unüberwachtes maschinelles Lernen Software analysiert lokalen Traffic, um normales Verhalten zu erlernen Erkennt Anomalien, die sich nur durch Beobachtung des Zielnetzwerks aufdecken lassen Beispiel: Scans auf ungenutzte IP-Adressen weisen auf Darknet-Reconnaissance hin 20

21 Lokales Lernen Identifikation normalen und abweichenden Verhaltens im lokalen Netzwerk Techniken Unüberwachtes Lernen Anomalie-Erkennung Beispiel K-Means-Clustering Kerberos-Client-Aktivität 21

22 Integrierte Intelligence Rush Hour Wetter schlecht Stau Unfall Sirenen Events zueinander in Beziehung setzen und den größeren Angriffszusammenhang erkennen Techniken Event-Korrelation Host-Scoring Angriffsstrategien Beispiel Bayessche Netze 22